シングルサインオン:それが何であるか、どのように機能するか、そしてなぜそれが必要なのか

公開: 2022-05-07

先週シングルサインオンで何かにログインした可能性がありますが、それがどのように機能し、なぜあなたのビジネスがそれを使用する必要があるのか​​理解していますか?

あなたのウェブサイトの最も価値のある部分は何ですか?

ビデオファイルを圧縮するためのあなたの甘いアルゴリズム? 増え続けるオリジナルIPのコレクション? あるいは、ユーザーが基本的に中つ国である場所をハックするときに得られるゲーム体験かもしれませんが、法的な理由から、それは間違いなく中つ国ではありませんか?

ハッカーの観点からは、それは重要ではありません。 ハッカーは個人データを探しています。 名前、アドレス、電子メール、およびパスワード-後でフィッシング詐欺、ランサムウェア攻撃、および個人情報の盗難に使用される可能性のあるユーザーの個人情報に関する詳細。

最近では、パスワードやその他のログイン情報がリストの上位に入る可能性があります。 ホームデザイン会社のHouzzは昨年4800万以上のパスワードを失いました。 「WordswithFriends」や「DrawSomething」で知られるゲームプロデューサーのZyngaもセキュリティ攻撃を受け、推定2億1800万人のユーザー認証情報が盗まれました。

残念ながら、セキュリティ侵害の防止に関しては、100%可能になることはありません。 ただし、ユーザーがパスワードを侵害して盗まれる可能性を減らす方法があります。 シングルサインオンへようこそ。これは、多くの一般的なビジネス上の問題を解決するID管理構造です。

シングルサインオン(SSO)とは何ですか?

シングルサインオン(SSO)は、Webサイトが他の信頼できるサイトを使用してユーザーを確認できるようにする識別システムです。 これにより、企業はデータベースにパスワードを保持する必要がなくなり、ログインのトラブルシューティングが削減され、ハッキングによって引き起こされる可能性のある損害が減少します。

SSOシステムは、IDカードのようなIDプロバイダーとして機能します。 たとえば、スピード違反で引っ張られた場合、警察官はあなたを個人的に知る必要はありません。 彼らはあなたの免許証を見るだけで、あなたの州があなたの身元を保証していることを確認できます。

同様に、SSOを使用すると、Webサイト自体をチェックして本人であることを証明することはできません。 代わりに、SSOプロバイダー(LinkedIn、Microsoft、Googleなど)に問い合わせて、本人確認ができるかどうかを確認します。 可能であれば、サイトは彼らの言葉を受け入れます。

技術的には、シングルサインオンと呼ばれるものの多くは、実際には純粋なSSOと委任またはフェデレーションの組み合わせです。 すべてのプラットフォームの間には、特にサービスとしてのアイデンティティプロバイダーが入り混じっているときに、ある種の混乱があります。

ここではSSOを使用し、区別が本当に重要な場合はコールアウトを使用します。

SSOはどのように機能しますか?

システムを大まかに説明するのは簡単ですが、SSOを実装するプロセスを説明するにはもう少し背景が必要です。 通常、システムにログインすると、サービスプロバイダーまたはドメイン(この例ではwebsite.com)が独自に認証します。 そのようです:

1.ユーザーとして、website.comで断続的なページにアクセスし、既にログインしているかどうかを確認します。ログインしている場合は、SSO認証が完了し、システムが本当に必要なもの(Gmail)に送信します。たとえば、受信トレイ)。

2.まだログインしていない場合は、ログイン画面が表示されます。

3.ログイン資格情報(電子メールとパスワード)をフォームにドロップすると、website.comがそれらの資格情報をデータベースと照合し、ログインまたは拒否されます。

4.ログインしている場合、website.comはある種のトラッカーを発行します。 これはサーバー上にある場合もあれば、トークンとして送信される場合もあります。

これで、サイト内を移動するたびに、システムはトラッカー、つまり認証が最新であることを確認するだけです。

SSOを使用して同じことを行うとすると、次のようになります。

1.ユーザーとして、website.comの断続的なページ(SSOポータル)にアクセスし、既にログインしているかどうかを確認します。ログインしている場合は、Gmailの受信トレイなど、本当に必要なものに移動します。例えば。

2.まだログインしていない場合、website.comは、サードパーティのIDプロバイダー(Google、Amazon、Facebookなど)を介した認証のオプションを提供します。 選択したプロバイダーを選択してから、そのプロバイダー、たとえばGoogleでログインします。

3. Googleは、あなたがあなたであることを確認し、website.comが主張しているサイトであることを確認してから、Googleパスワードデータベースに基づいてあなたを認証し、website.comにトークンを発行します。

4. Website.comはGoogleからトークンを取得し、本人確認を行います。 これで、設定、履歴、ショッピングカートなど、残りのユーザーデータに関連付けられ、すべての設定が完了します。

  • 真のSSOシステムでは、フルアクセスでサイト間を移動するだけです。
  • 委任されたシステムでは、Googleは本人確認と一連の許可された使用の両方を返します。 たとえば、Website.comにはあなたの名前と電子メールへのアクセスが許可されている場合がありますが、あなたの場所や年齢は表示されません。 (以下の例を参照してください。)


Auth0(ソース)からのSSOを使用する際のリダイレクトフローの例

すごい! しかし、なぜ誰かがこれを気にするのでしょうか?

ユーザーにとってのメリット

SSOを操作するユーザーにはいくつかの主な利点があります。

  • 快適。 ユーザーは、ログインの詳細を1セットだけ覚えておく必要があります。 サイトをGoogleのログインに接続することで、散発的なユーザーでもログイン方法を覚えておくことができます。 Googleにログインするだけです。
  • 透明性。 ユーザーは、少なくとも委任されたシステムでは、あるシステムから別のシステムに何が共有されているかを知っています。 これは、電話に新しいアプリケーションをインストールして、写真、連絡先、銀行口座へのアクセス許可を求める場合と似ています。 これらのオプションに満足できない場合は、オプトアウトできます。
  • スピード。 SSOを使用すると、ユーザーは長いサインアップと承認のプロセスを経る必要がありません。 Googleはすでにすべてのメール検証とデータ収集を行っているため、新規ユーザーはGoogleにログインするのと同じくらい早くサインアップできます。
  • 安全。 また、ユーザーは、Webサイトの所有者であるMarlon Randoが、インターネットの裏側のどこかにプレーンテキストでパスワードを保存していないことを知っていることから得られる安心感を得ることができます。 Googleは引き続き信頼の中心であり、ユーザーは恐れることなく新しいことを試すことができます。

あなたのビジネスにとってのメリット

これはユーザーにとっては素晴らしいニュースですが、Webサイトの所有者であるあなたにとっては何が含まれていますか?

  • より多くのユーザーサインアップ。 SSOは参入障壁が低いため、既知のブランドに依存することで、新規顧客は簡単かつ安全にサインアップできます。 Facebookがプロセスを管理しているので、彼らはあなたの未知のシステムやブランドについて心配する必要はありません。 信頼が高まり、コンバージョンが増加します。
  • バックエンドでの作業が少なくなります。 つまり、パスワードをいじくり回す必要はありません。 ハッキングのリスクを減らすことは重要ですが、さらに重要なのは、5分ごとにユーザーのパスワードをリセットする必要がないことです。 すべての認証とパスワードの重労働は、信頼できるオーセンティケーターによって管理されます。
  • データ収集。 また、GoogleやFacebook、またはそれを利用できるようにする人など、より多くの情報を利用することもできます。 それはそれに関連するすべての面倒なしでデータ収集のすべての利点です。
  • リスクの軽減。 最後に、その魅力的なパイを窓辺から取り除きます。 大量のログイン詳細をホストしていない場合、ハッカーはサイトにアクセスするインセンティブが低くなります。 また、サイトの全体的なセキュリティにひどく弱いパスワードで穴を開けているユーザーがたくさんいる可能性も低くなります。

つまり、SSOソリューションを採用することで、あなたとあなたのクライアントの生活が楽になります。

SSO + MFA:セキュリティを犠牲にすることなく便利

SSOは便利ですが、落とし穴があります。 つまり、SSOアカウントがハッキングされた場合、同じ認証システムに属する他のアカウントも標的にされる可能性があります。 このリスクに対抗できる1つの方法は、多要素認証(MFA)を実装することです。

多要素認証

ユーザーが2つ以上の検証要素を提供する必要があるユーザー認証方法。

MFAと組み合わせたSSOは、SSOのみの場合よりも、ユーザーアカウントの保護においてはるかに優れた役割を果たします。 さらに、MFAとSSOが提供する効率と使いやすさをユーザーに提供することは、パスワードのリセットやヘルプデスクへの問い合わせの可能性を減らすことを意味します。

入門

ビジネスが技術的に傾いている場合、つまり、ある種のソフトウェアエンジニアを採用している場合は、市場に出回っている多くの商用ソリューションを支えるOAuthプロトコルを確認することもできます。

現在の技術スタックと統合できるツールを探している場合は、CapterraのID管理ディレクトリを参照して、SSOプロバイダーの完全なリストを確認できます。ここで、フィルタリングツール(画面の左側)を使用してMFAを参照できます-特定の製品。 当社の認証ソフトウェアとシングルサインオンディレクトリはどちらも、SSOおよびMFAツールを見つけるのに最適な場所です。